Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2005-10-04 12:08:42

  Ar7i - Nowy użytkownik

Ar7i
Nowy użytkownik
Skąd: K-lin
Zarejestrowany: 2005-10-04

Jak zrobic dobre przekierowywanie portów ?

Witam. Moj problem jest pewnie wam juz znan wiec nie wsciekajcie sie,ze pisze o takich rzeczach. Otorz moj problem polega na tym,ze mam router na debianie, ustawionego na nim firewalla i nat. Wszystko znalazlem w internecie kilka lat temu i do tej pory chodzi to bardzo dobrze. Internet mam poprzez Neostrade 640 Mbit/s i nie potrafie sobie poradzic z ustawieniem przekierowania portow na inne komputery. Bylbym bardzo wdzieczny gdybyscie dali mi przyklad jak to zrobic. Abyscie mieli wszystkie informacje dotyczace ustawienia mojego serwera, zamieszczam wam cale ustawienie:
====================================================
/etc/ppp/ppp_on_boot.dsl
ifconfig eth1 mtu 1492

#!/bin/sh
PATH="/sbin:/usr/local/sbin:$PATH"
iptables=/sbin/iptables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -F -t mangle
iptables -X -t mangle
#iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -i lo -j ACCEPT

#Wpuszczamy polaczenia juz nawiazane
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED
#iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#BLOKUJE POKAZYWANIE SIE PINGU
iptables -A INPUT -p icmp -s 192.168.0.2 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.3 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.4 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.5 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.6 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.7 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.8 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.9 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.10 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.11 -j ACCEPT

#iptables -A INPUT -p icmp -j DROP

#OPEN FTP ALL
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#OPEN FTP DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 21 -j ACCEPT

#OPEN SSH DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 22 -j ACCEPT

#DOSTEP DO OTOCZENIA SIECIOWEGO
iptables -A INPUT -p tcp -s 192.168.0.1 --dport 137:139 -j ACCEPT

#DOSTEP DO WWW DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 80 -j ACCEPT

#WPUSZCZANIE NA WWW Z DOWOLNEGO IP
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#DOSTEP DO WEBADMINA NA PORCIE 81 DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 81 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 81 -j ACCEPT

#DOSTEP DO PROXY
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 8080 -j ACCEPT

#DNS
iptables -A INPUT -p tcp -s 192.168.0.1 --dport 53 -j ACCEPT

#logowanie pozostalych, niepasujacych pakietow na wejsciu
#iptables -A INPUT -j LOG -m limit --limit 10/hour

#MASKOWANIE DOMOWEGO SPRZETU
echo 1 > /proc/sys/net/ipv4/ip_forward
#forwardowanie pakietow z polaczeniem juz nawiazanym
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED

#forwardowanie w domu do inetu wszystkiego, eth1->interfejs katrty podlaczonej do sieci lokalnej
iptables -A FORWARD -i eth1 -j ACCEPT

#logowanie pozostalych, niepasujacych forwardowanych pakietow
#iptables -A FORWARD -j LOG -m limit --limit 10/hour
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.3 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.5 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.6 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.7 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.8 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.9 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.10 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.11 -o ppp0 -j MASQUERADE
====================================================
Wiec z tego ustawienia chcialbym odblokowac porty aby np: eMule mi dzialalo normalnie. Wiec trzeba odblokowac i przekierowac porty o nr: 4662 na TCP przychodzacy i wychodzacy, 4672 na UDP przychodzacy i wychodzacy, 4661 na TCP wychodzacy, 4665 na UDP wychodzacy, 4711 na TCP przychodzacy (wziolem to ze strony http://www.emule-project.net/home/perl/help.cgi?l=20&rm=show_topic&topic_id=712).
IP komputera na ktorym chcialbym pobierac z eMule to 192.168.0.2 a IP serwera w sieci to 192.168.0.1. Jesli mozecie to napiszcie mi co zmodyfikowac i co gdzie wpisac aby to bylo automatyczne ladowane z caly ustawieniem i nie kolidowalo.
Dzieki z gory i czekam na wasze odpowiedz.
Pozdrawiam....

Offline

 

#2  2005-10-04 18:52:46

  Graffi - Użytkownik

Graffi
Użytkownik
Skąd: Sulejówek
Zarejestrowany: 2005-10-03
Serwis

Re: Jak zrobic dobre przekierowywanie portów ?

oto moje przekierowania portów jakie mam na swoim routerze ;)

Kod:

# aMule - moj
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 4712 -j DNAT --to-destination 192.168.0.16:4712
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.16:4662
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 4672 -j DNAT --to-destination 192.168.0.16:4672

#PSI :)
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 8011 -j DNAT --to-destination 192.168.0.16:8011
#KADU
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 2550 -j DNAT --to-destination 192.168.0.16:1550
#Skype
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 58260 -j DNAT --to-destination 192.168.0.16:58260

mam nadzieje ze zrozumiałe,
działa to tak, że wiadomość wchodząca na odpowiednim porcie jest "tunelowana" na IP 192.168.0.16 na odpowiednio podany po dwókropku port


a w sumie... może ktoś wie czy można (myślę że tak) "fałszować" w pakietach wychodzących z routera na świat wartość ttl (jak nie pomyliłem pojęć) i ustawiać na 0 (chodzi o to żeby nie było widac udostępniania połączenia internetowego do sieci lokalnej)

Offline

 

#3  2005-10-04 19:18:10

  Ar7i - Nowy użytkownik

Ar7i
Nowy użytkownik
Skąd: K-lin
Zarejestrowany: 2005-10-04

Re: Jak zrobic dobre przekierowywanie portów ?

Hmm pobawie sie u siebie zaraz tymi regolkami :)
Co do TTL (Time To Life) to nie wiem czy sie da poniewaz jak dobrze mysle/pamietam jest to ustawiane przez komputer nadajacy a nie otrzymujacy. Moze dalo by sie wylapac sygnal i zmienic na mniejsza wartosc ale czy ta sztuczka jest tak prosta to chyba mi sie nie wydaje :)
Pozdro :)

Offline

 

#4  2005-10-04 20:02:12

  korbol - Członek DUG

korbol
Członek DUG
Zarejestrowany: 2005-04-29

Re: Jak zrobic dobre przekierowywanie portów ?

może ktoś wie czy można (myślę że tak) "fałszować" w pakietach wychodzących z routera na świat wartość ttl (jak nie pomyliłem pojęć) i ustawiać na 0 (chodzi o to żeby nie było widac udostępniania połączenia internetowego do sieci lokalnej)[/quote]
Coś Ci si echyba popyrtało.Jak ustawisz ) to pakiet nie doleci nigdzie:)
Chyba chciales ustawic aby wszytki pakiety mialy ta sma wartosc ttl.
Musisz niestety zpaczować jądro paczem patch-o-matic a po zpaczowaniu tu masz przykladowa regulke zeby wszytkie pakiety mialy ttl=64

Kod:

iptables -t mangle -A OUTPUT -j TTL --ttl-set 64

bez zpaczowania nie bedziesz mial celu -j TTL

Pozdrawiam

Offline

 

#5  2005-10-04 21:20:56

  Ar7i - Nowy użytkownik

Ar7i
Nowy użytkownik
Skąd: K-lin
Zarejestrowany: 2005-10-04

Re: Jak zrobic dobre przekierowywanie portów ?

Jak narazie to mi nic nie dalo, nadal prawie wogole nie sciaga :( qzwa no co moze byc nie tak, ze nie dziala przekierowywanie :(

Offline

 

#6  2005-10-04 21:36:56

  Graffi - Użytkownik

Graffi
Użytkownik
Skąd: Sulejówek
Zarejestrowany: 2005-10-03
Serwis

Re: Jak zrobic dobre przekierowywanie portów ?

[b]korbol[/b] dzięki ;)
pobawie się i powiem kiedyś co wywojowalem :)

a co do tego "niedziałania" tunelowania portów to słuchaj, jest prosta metoda na sprawdzenie ;)

ustaw sobie na kopmie (na tym na który tunelujesz) jakiś program który przyjmuje połączenia np. jak ten "nie router" ma linuxa to wystarczy ze na routerze przetunelujesz np. port 1022 na 22 na tym swoim kompie i potem z zewnątrz zaloguj sie na SSH na swoj router na port 1022 - powinieneś się w tym momencie zalogowac na swój komputer w sieci lokalnej, jakby to działało to znaczy ze tunelowanie Ci dobrze działa a problem lezy gdzieś indziej

p.s. mam nadzieje że na kompie tym w lokalnej sieci o ile masz firewola to pozwala on na połączenia które chcesz realizowac ;)  bo może masz dobrze tunelowane a tniesz potem gdzieś połączenia ;)

Offline

 

#7  2005-10-06 19:16:23

  Prezu - Masta Haka

Prezu
Masta Haka
Skąd: Trzebnica
Zarejestrowany: 2005-06-02

Re: Jak zrobic dobre przekierowywanie portów ?

Czołem Graffi! Nie wiedziałem żeś debianowiec. :)
My się już z Graffim z forum Kadu znamy. :)

Offline

 

#8  2005-10-06 20:59:29

  Graffi - Użytkownik

Graffi
Użytkownik
Skąd: Sulejówek
Zarejestrowany: 2005-10-03
Serwis

Re: Jak zrobic dobre przekierowywanie portów ?

a no się znamy :)
to ja - aki ten świat mały :)

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.007 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00122 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.135.220.169' WHERE u.id=1
0.00062 UPDATE punbb_online SET logged=1738313916 WHERE ident='3.135.220.169'
0.00055 SELECT * FROM punbb_online WHERE logged<1738313616
0.00046 SELECT topic_id FROM punbb_posts WHERE id=14956
0.00004 SELECT id FROM punbb_posts WHERE topic_id=1760 ORDER BY posted
0.00049 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=1760 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00100 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=1760 ORDER BY p.id LIMIT 0,25
0.00081 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=1760
Total query time: 0.00538 s